Aanbevelingen voor API/API Management-beveiliging
In dit artikel vindt u alle aanbevelingen voor API/API Management-beveiliging die u in Microsoft Defender voor Cloud kunt zien.
De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.
Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.
Aanbevelingen voor Azure API
Microsoft Defender voor API's moet zijn ingeschakeld
Beschrijving en gerelateerd beleid: Schakel het Defender for API-plan in om API-resources te detecteren en te beveiligen tegen aanvallen en onjuiste beveiligingsconfiguraties. Meer informatie
Ernst: Hoog
Azure API Management-API's moeten worden toegevoegd aan Defender for API's
Beschrijving en gerelateerd beleid: Onboarding API's voor Defender for API's vereist reken- en geheugengebruik in de Azure API Management-service. Bewaak de prestaties van uw Azure API Management-service tijdens het onboarden van API's en schaal uw Azure API Management-resources zo nodig uit.
Ernst: Hoog
API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service
Beschrijving en gerelateerd beleid: Als best practice voor beveiliging worden API-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen beschouwd als ongebruikt en moeten ze worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking.
Ernst: Laag
API-eindpunten in Azure API Management moeten worden geverifieerd
Beschrijving en gerelateerd beleid: API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling verificatie door de aanwezigheid van Azure API Management-abonnementssleutels te controleren voor API's of producten waarvoor een abonnement is vereist, en de uitvoering van beleid voor het valideren van JWT-, clientcertificaten en Microsoft Entra-tokens . Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling.
Ernst: Hoog
Aanbevelingen voor API Management
API Management-abonnementen mogen niet worden beperkt tot alle API's
Beschrijving en gerelateerd beleid: API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens.
Ernst: gemiddeld
API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan
Beschrijving en gerelateerd beleid: API Management moet het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in om de API-beveiliging te verbeteren.
Ernst: gemiddeld
Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld
Beschrijving en gerelateerd beleid: De REST API voor direct beheer in Azure API Management omzeilt op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen van Azure Resource Manager, waardoor het beveiligingsprobleem van uw service toeneemt.
Ernst: Laag
API Management-API's mogen alleen versleutelde protocollen gebruiken
Beschrijving en gerelateerd beleid: API's moeten alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS, om de beveiliging van gegevens in transit te waarborgen.
Ernst: Hoog
Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault
Beschrijving en gerelateerd beleid: Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Verwijs naar geheim met benoemde waarden van Azure Key Vault om de beveiliging van API Management en geheimen te verbeteren. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie.
Ernst: gemiddeld
API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen
Beschrijving en gerelateerd beleid: om de beveiliging van API Management-services te verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals API voor direct toegangsbeheer, Eindpunt voor Git-configuratiebeheer of zelf-hostende gateways- en configuratie-eindpunten.
Ernst: gemiddeld
De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger
Beschrijving en gerelateerd beleid: Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezen gebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger.
Ernst: gemiddeld
API Management-aanroepen naar API-back-ends moeten worden geverifieerd
Beschrijving en gerelateerd beleid: aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of het gaat om certificaten of referenties. Is niet van toepassing op Service Fabric-back-ends.
Ernst: gemiddeld